MySQL8.0 - 新特性 - 安全及权限相关改进

阿里云云栖号

于 2019-05-20 13:01:04 发布

阅读量1.2k

点赞数 1

文章标签：数据存储与数据库 mysql grant

本文链接：https://blog.csdn.net/yunqiinsight/article/details/90370783

版权

MySQL8.0里引入了不少关于权限的改动，从这些改动可以看出来，权限管理更加的规范和遍历了，这和我们之前为rds mysql增加了大量权限管理很类似，想来Oracle也是通过这些改动为其云业务服务的吧。

本文主要简述下部分相关的权限改动，不会涉及代码实现部分。当前版本为8.0.16

Atomic ACL Statement

由于实现了新的数据词典表，所有的权限相关的信息都存储在innodb mysql tablespace里。而innodb是事务性引擎，具有ACID特性，所以对应的ACL操作也具有原子特性。

例如之前如果一个语句对多个user操作的时候，有些成功，有些会失败。而现在则是要么全部成功，要么全部失败。binlog也会在事务提交时记录到redo log里。

这里有个问题是当我们通过搭建备库的方式从5.7升级到8.0时，那些在5.7部分成功的acl操作，到了以8.0作为备库的实例上会全部失败.

关于atomic ddl 见官方文档

Role

Role是一个期待已久的功能，可以认为是一组权限的集合，你可以为多个账户赋予相同的role权限，这也使得权限的管理更加规范，大大方便了运维和管理。你可以通过 create role 'role_name' 创建一个role名，然后再通过grant语句为role赋予权限。之后就可以grant 'role_name' to 一个指定的账户了。

关于role，之前写了一篇文章介绍了，这里不再赘述，感兴趣的点链接

参考：
官方文档

connection control plugin

引入了一个新的插件，代码在plugin/connection_control/下，该插件使用的是audit plugin接口，其功能是在数次登陆失败后，会延迟下次登陆的时间，这也有点类似于多次密码输入错误，会被冻结一会的意思。

在lib/plugin目录下，我们已经编译好了插件connection_control.so，安装也比较简单：

mysql> INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so';
Query OK, 0 rows affected (0.01 sec)

mysql> INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';
Query OK, 0 rows affected (0.03 sec)

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'connection%'\G
*************************** 1. row ***************************
  PLUGIN_NAME: CONNECTION_CONTROL
PLUGIN_STATUS: ACTIVE
*************************** 2. row ***************************
  PLUGIN_NAME: CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS
PLUGIN_STATUS: ACTIVE
2 rows in set (0.00 sec)

mysql> SHOW VARIABLES LIKE '%connection%control%';
+-------------------------------------------------+------------+
| Variable_name                                   | Value      |
+-------------------------------------------------+------------+
| connection_control_failed_connections_threshold | 3          |
| connection_control_max_connection_delay         | 2147483647 |
| connection_control_min_connection_delay         | 1000       |
+-------------------------------------------------+------------+
3 rows in set (0.00 sec)

如何使用：
connection_control_failed_connections_threshold: 允许失败的次数，在这么多次失败后，会去增加delay的时间(设置为0则表示关闭该特性，不会去增加延迟)
当超出失败上限后，就根据之后失败的测试乘以connection_control_min_connection_delay作为delay时间，但最大不超过connection_control_max_connection_delay, 以默认配置为例子，当第四次失败时是1000毫秒，当第五次失败时就加倍到2000毫秒

官方文档

支持双重密码

这也是个有趣的特性，意思是支持一个账户两个密码，这通常发生在你修改了密码，但又不想导致正在运行的业务中断时。如worklog所述，当你有大规模的复制集群时，又想修改复制密码，当然不希望正在进行的复制中断拉。那怎么办，可以在保持两个密码在一段时间内都是有效的。用法也比较简单，我们举个简单的例子：

root@test 10:07:00>CREATE USER arthurdent@localhost IDENTIFIED WITH 'mysql_native_password' BY 'abcd';
Query OK, 0 rows affected (0.00 sec)

# 再创建一个密码，同时保持当前密码
root@test 10:07:02>ALTER USER arthurdent@localhost IDENTIFIED BY 'efgh' RETAIN CURRENT PASSWORD;
Query OK, 0 rows affected (0.01 sec)

#再创建一个密码，同时保持当前密码，但是第一个创建的密码abcd就失效了
root@test 10:07:18>ALTER USER arthurdent@localhost IDENTIFIED BY 'efghh' RETAIN CURRENT PASSWORD;
Query OK, 0 rows affected (0.01 sec)

如果要抛弃旧密码，可以执行如下语句
root@test 10:11:36>ALTER USER arthurdent@localhost DISCARD OLD PASSWORD;
Query OK, 0 rows affected (0.00 sec)

此时你再通过旧密码efgh就无法成功登录了。

mysql.user表被扩展了来存储两个密码，主密码存储在mysql.user.authentication_string中，次要密码存储在mysq